Bonjour à tous,
il semblerait qu'on ait enfin de l'IPv6 chez un FAI français grand public. J'ai nommé Free.
Et bien que ce ne soit destiné pour l'instant qu'aux abonnés en zone dégroupée, et malgré le fait que je ne fasse pas partie de ces chanceux, je me pose la question : et maintenant ?
En admettant que je sois connecté en ipv6 sur mon adsl free, que devrais-je faire pour être vraiment ipv6-compliant ? et pour profiter de la puissance du truc.
- activer sur mes diverses machines et divers OS (debian, openbsd) l'IPv6 ce qui ne devrait pas être trop trop dur
- ensuite ??? que faire de mon openbsd routeur qui fait du NAT, il devient obsolète ? on connecte toutes les machines directement sur internet ? quid de la sécurité ?, vu que le routeur faisait firewall... du coup les machines connectées doivent être encore plus protégées ?
n'empêche 2^64 soit 18 446 744 073 709 551 616 adresses IP par abonné... ça en jette :)
# Re : Et maintenant
Posté par zul (site web personnel) . Évalué à 8.
Un routeur ipv6 est une machine qui forwarde des paquets ipv6 (par definition) et un host qui ne le fait pas.
C'est pas parce que toutes tes machines à l'intérieur sont maintenant accessibles directement sans hack^W Nat que les paquets vont arriver par magie. Si l'unique route passe par ton routeur OpenBSD, tous les paquets passeront par cette machine, et tu pourra filtrer comme avant.
Voir http://www.point6.net pour plein de documentations interessante s(quand il sera reup), sur comment ça marche ipv6 et comment on peut configurer des box.
[^] # Re: Re : Et maintenant
Posté par carlo . Évalué à 5.
mais si [1] un switch est directement connecté à la freebox en ipv6, ça veut dire que tous mes postes récupèrent directement une ip en ipv6 ou pas ? parce que si c'est le cas, je n'ai plus vraiment besoin de routeur puisque mes machines sont toutes sur internet.
Sinon, si la freebox continue à distribuer qu'une ip mais en ipv6, je comprends qu'en effet il me faut un routeur ipv6.
En même temps vu que iliad/free dit que chaque abonné à maintenant 2^64 adresses, ça semble vouloir dire qu'on peut connecté directement 2^64 terminaux IP sur internet...
[1] je dis peut-être des conneries, mais j'essaye d'éclaircir le sujet dans ma tête
[^] # Re: Re : Et maintenant
Posté par carlo . Évalué à 3.
en gros, ça veut tout simplement dire que je n'ai plus besoin de NAT mais que je peux continuer à utiliser mon routeur comme routeur (:) sans problème.
Donc si j'ai mes ip en (je simplifie en prenant des ipv4, la numérotation ipv6... hum, il faut que je la révise) 88.1.2.3 88.1.2.4 88.1.2.5, je peux tout simplement mettre l'ip .3 pour mon routeur et connecté les autres postes dessus avec une route qui passe par là. et là sans NAT, ça devrait marcher tout seul.
c'est ça qu'il fallait comprendre ?
[^] # Re: Re : Et maintenant
Posté par zul (site web personnel) . Évalué à 3.
Il suffit d'obliger tous les paquets à passer par le routeur/firewall avant d'être dispatché sur le reste de ton réseau.
[^] # Re: Re : Et maintenant
Posté par Sytoka Modon (site web personnel) . Évalué à 2.
Si tu veux être sur que les paquets passent par le routeur, il faut faire des VLAN et avoir des commutateurs administrable. Avec les VLAN, rajouter des routes sur les postes clients ne suffit pas pour chinter le routeur.
[^] # Re: Re : Et maintenant
Posté par Nico C. . Évalué à 2.
[^] # Re: Re : Et maintenant
Posté par zul (site web personnel) . Évalué à 3.
[^] # Re: Re : Et maintenant
Posté par BAud (site web personnel) . Évalué à 3.
# Et maintenant ?
Posté par chl (site web personnel) . Évalué à 10.
Profites en c'est bientôt Noël.
# et maintenant ?
Posté par M . Évalué à 6.
Parce qu'avant on avait un firewall basique avec le NAT, mais en ipv6 maintenant chaque machine est directement connecté sur le net. Vive les scans de ports et essaye d'intrusion sur les ports sensibles.
[^] # Re: et maintenant ?
Posté par med . Évalué à 5.
[^] # Re: et maintenant ?
Posté par M . Évalué à 8.
Rien n'empêche de mettre un pare-feu sur toutes les machines sinon.
Sauf qu'il faut avoir confiance aux parfeu de certains OS (windows) (et ca bouffe du cpu, RAM), c'est chiant a administrer (surtout que dans la plus part des cas on veut que sur le reseau local les ports ne soit pas bloqué), c'est pas possible sur tout les périphériques (tu peux avoir des périphériques sur ton réseau local qui n'ont pas de parefeu (imprimante, ...), ca rajoute une porte de plus a franchir.
# pourquoi autant d'adresse
Posté par Rémi baudruche . Évalué à -4.
moi je pensait qu'on en aurais 256
65536 je comprendrais encore mais alors 18 milliard de milliards, ça fait quand même rudement beaucoup. Non ?
Vous en pensez quoi ?
Ca servira jamais à rien ?
[^] # Re: pourquoi autant d'adresse
Posté par ribwund . Évalué à 3.
http://livre.point6.net/index.php/Unicast_Global
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.